У меня есть две группы AD, которые были ошибочно созданы, хотя вместо этого должна была быть только одна группа; они содержат одинаковых пользователей. Однако этим группам были назначены различные разрешения для различных ресурсов (например, общих файловых ресурсов), и я не могу отследить их все и сбросить их, чтобы они ссылались только на одну группу.
Могу ли я «объединить» две группы, если удаляю одну из них и помещаю ее SID в историю SID другой? Позволит ли это членам оставшейся группы получить доступ к тем ресурсам, для которых были предоставлены разрешения удаленному?
Обновить:
Похоже, что нет простого способа добавить SID в историю SID пользователя или группы; по крайней мере, ADUC и ADSIEdit не могут сделать это. Если описанный выше трюк работает, как это можно сделать на самом деле?
Ответы:
Вы не можете изменить
SIDHistoryатрибут, так как это защищенный атрибут.Один из поддерживаемых методов - использование AD Migration Tool. Есть некоторые Powershell / сценарии, но все они требуют, чтобы группы находились в разных доменах / лесах.
Единственный способ, которым вы могли бы сделать это, как указано в TheCleaner. Вы бы хотели сделать группу, которую хотите использовать, для продвижения вперед (группа 1) членом «устаревшей» группы (группа 2), чтобы все члены группы 1 были членами группы 2. Затем вы удалили бы пользователей из группы 2. и просто добавьте новых пользователей в группу 1.
источник